【2021活跃勒索组织追踪】第三期：REvil

1.组织背景2021年3月，计算机设计制造巨头宏碁（Acer）遭受了勒索软件攻击，攻击者索要5000万美元赎金，刷新了此前已知的勒索赎金要求记录。由于拒绝支付赎金，被盗数据已被泄露，其背后的攻击者被证实为REvil勒索组织。REvil,又称Sodinokibi、Sodin，是一个勒索软件网络犯罪组织，于2019年4月首次出现。REvil被认为是另一个臭名昭著的勒索组织GandCrab的继承者，后者于2019年6月宣布关闭运营，此后REvil就变得非常活跃，并且两者的勒索软件在代码和行为方面存在大量相似之处。REvil组织采用勒索软件即服务（RaaS）的运营模式，REvil组织负责勒索软件的开发和维护，以及与受害者进行谈判和处理赎金，对目标进行网络入侵和部署勒索软件则由其雇佣的附属机构（网络黑客）来完成。REvil通常以全球范围内大中型企业作为勒索目标，同时避开俄语系国家。基于目标年收入来制定赎金，REvil组织从中收取20%-30%份额，其余部分则为附属机构所得，赎金支付方式可使用比特币(BTC)或门罗币（XMR）。图1. REvil组织提供给受害者的付款页面2020年1月，REvil组织开始采用双重勒索策略，要求附属机构在加密操作前窃取数据，对那些拒绝支付赎金、依靠备份恢复数据的受害者，REvil将把这些窃取的数据暴露在该组织的名为“The Happy Blog”的暗网数据泄露站点上，并进行拍卖。2021年3月，REvil为其附属机构提供了一项新服务，通过使用DDoS攻击，以及向新闻媒体和受害者的商业伙伴透露相关消息，以向受害者施加压力。值得关注的是，2021年4月，REvil首次在受害者拒绝支付赎金后，转而向受害者的客户索要。事件经过为，REvil攻击了全球第二大笔记本电脑设计制造商广达（Quanta），窃取了该公司重要合作伙伴苹果公司的产品设计蓝图，索要5000万美元赎金，但遭到拒绝。之后，REvil 试图勒索苹果公司，要求其支付赎金来“回购”被窃取的产品蓝图。图2. REvil在其暗网“Happy Blog”上拍卖拒不支付赎金的受害者数据近期活动REvil组织在2021年上半年勒索攻击活动依旧非常活跃，其中不乏类似宏碁、广达这样的大型企业和厂商，索要赎金金额都在千万美元以上：Ÿ 2021年1月，泛亚大型零售连锁运营商Dairy Farm Group遭受REvil勒索软件攻击，索要3000万美元赎金。Ÿ 2021年4月，全球领先的电子制造服务公司Asteelflash遭到了REvil勒索软件团伙的网络攻击，要求赎金 1200 万美元Ÿ 2021年4月，法国第二大制药集团Pierre Fabre 遭受了 REvil 勒索软件攻击，要求2500 万美元的赎金。Ÿ 2021年5月，全球最大肉类食品加工厂商 JBS 遭受了REvil勒索软件攻击，索要赎金2250万美元，经谈判JBS最终支付了1100万美元赎金。Ÿ 2021年5月，美国核武器承包商Sol Oriens遭受了 REvil 勒索软件团伙的网络攻击，被盗的数据正在被拍卖。基于已公开的REvil勒索攻击数据，新华三攻防实验室统计了2021年上半年以来的受害者行业分布情况。受害者涵盖了制造业、法律服务业、建筑业、批发零售、医疗健康、信息技术、金融等行业，其中制造业占比最高。图3. 受害者行业分布2.技术分析2.1入侵手段多样REvil组织雇佣大量附属机构来分发REvil勒索软件，不同的附属机构可能会使用不同的方法对受害者网络进行初始入侵，主要有：Ÿ 软件漏洞利用。曾利用Weblogic反序列化漏洞（CVE-2019-2725）、Confluence漏洞(CVE-2019-3396)、Pulse Secure VPN漏洞（CVE-2019-11510）等，近期在攻击宏碁的事件中使用了Microsoft Exchange 服务器漏洞（CVE-2021-26855）。Ÿ 钓鱼邮件或网络钓鱼活动。Ÿ 使用RIG漏洞利用工具包。Ÿ RDP暴力破解。Ÿ 供应链攻击。例如通过入侵托管服务提供商（MSP），向受害者推送REvil勒索软件。Ÿ 通过僵尸网络分发。例如，在JBS攻击事件中，研究人员发现REvil勒索软件与Qbot僵尸网络可能进行了合作。入侵成功后，附属机构即在目标内网进行横向渗透，先窃取大量敏感数据，然后部署REvil勒索软件进行加密。2.2勒索行为特征REvil勒索软件完成文件数据加密后，受害主机上会留有如下特征。（1）替换桌面壁纸，提示受害者文件已被加密。图4. 替换后的桌面背景（2）加密后的文件后缀为5-10个随机生成的字符（数字和小写字母）组成，并且在每个文件夹下创建一个勒索信息文件，提示受害者进行支付赎金操作，文件名格式为{EXT}-readme.txt，{EXT}为被加密文件的后缀名。 图5. 加密后的文件图6. 勒索信息文件内容2.3变体功能演变REvil的开发人员定期更新 REvil 勒索软件，目前REvil勒索软件只有Windows版本，但是其在积极开发非windows版本。为了提高使用的灵活性，REvil勒索软件采用配置信息来为不同的附属机构进行不同的配置，并且提供可选的命令行参数来控制软件的运行。此处挑选三个版本，通过比较每个版本配置信息和命令行参数的变化来讨论其功能演变。（1）1.07版本（2019.11，ea4cae3d6d8150215a4d90593a4c30f2）Ÿ 使用的配置项有pk、pid、sub、dbg、wht、prc、svc、dmn、net、nobody、nname、img、fast、arn、exp。Ÿ 使用的命令行参数有-nolan、-nolocal、-path。（2）2.01版本（2020.03，fbf8e910f9480d64e8ff6ecf4b10ef4b）Ÿ 使用的配置项有pk、pid、sub、dbg、wht、prc、svc、dmn、net、nobody、nname、img、et、spsize、arn。相较于1.07版本，et项替代了原fast项的功能，并结合spsize项提供了快速加密和完全加密之外的第三种加密类型，称之为混合加密类型，即对于一个大文件，可以取多个1MB数据块进行加密，每个块之间的数据不进行加密，这些块之间间隔的数据大小由spsize项指定。删除使用exp配置项，不再利用漏洞CVE-2018-8453进行权限提升。Ÿ 使用的命令行参数有-nolan、-nolocal、-path、-fast、-full。相较于1.07版本，增加了两个：-fast，-full，同样是对1.07版本的fast配置项的代替。若指定命令行参数-fast或-full，则会覆盖et配置项功能。（3）2.05版本（2021.03，2075566e7855679d66705741dabe82b4）Ÿ 使用的配置项有pk、pid、sub、dbg、wht、prc、svc、dmn、net、nobody、nname、img、et、spsize、arn、rdmcnt、exp。相较于2.01版本，恢复了exp配置项的使用，但功能进行了变更，被用来指示软件是否进行权限提升。增加了新的rdmcnt配置项。Ÿ 使用的命令行参数有-nolan、-nolocal、-path、-fast、-full、-silent、-smode。增加了-silent和-smode。-silent将用来指示是否跳过原有的进程、服务关闭和卷影副本删除操作，-smode用来重启进入windows安全模式运行。表1. 配置信息中各配置项功能描述配置项描述pkBase64编码的攻击者公钥。pid附属机构的ID。sub攻击活动标识符。dbg指示是否在Debug模式下运行，Debug模式不检查键盘布局和系统语言。et指示文件加密类型，-0：快速加密，只加密文件起始处的1MB数据；-1：完全加密； -2：混合加密，每隔spsize项指定的数据量加密1MB数据块。spsize给出加密类型et为 2 时要跳过的 MB 数。wipe指示是否应擦除wfld元素中指定的文件夹。该项暂未使用。wfld要擦除的文件夹列表。该项暂未使用。wht包含三个 REvil 不会加密的白名单列表： -fld：文件夹白名单；-fls：文件白名单；-ext：扩展名白名单。prc需要关闭的进程列表。net指示是否与其控制器通信。dmn由多个域名组成的字符串，域名之间由分号分隔。svc需要关闭的服务列表。nbodyBase64 编码的勒索信息模板。nname勒索信息文件名模板。exp指示是否进行权限提升。img添加到桌面背景的文本模板，以 Base64 编码保存。arn指示是否设置注册表实现自启动。rdmcnt1将勒索信息文件保存的最大文件夹数。如果为零，将勒索信息文件保存到所有文件夹下表2. REvil勒索软件的命令行参数功能参数描述-nolan不加密共享网络存储上的文件。-nolocal不加密本地存储上的文件。-path指定加密的目录，提供此参数时，桌面背景图像保持不变。-full加密目标文件中的所有数据。-fast只加密每个文件的前1 MB数据，与 -full 参数互斥。-silent跳过列入黑名单的进程、服务的关闭，以及跳过删除卷影副本-smode在windows安全模式下运行2.4勒索软件分析下面对REvil勒索软件2.05（2021.03）版本进行分析。REvil勒索软件首先手动加载导入函数地址表，其循环遍历一个DWORD列表，并根据DWORD的值解密获得正确的函数地址进行替换。图7. REvil勒索软件手动加载导入函数解密配置信息，REvil勒索软件的配置信息被加密保存在自身的一个区块中，区块名不固定，使用RC4算法进行解密后的配置信息为JSON格式。图8. REvil勒索软件RC4解密后的配置信息格式获取命令行参数，REvil勒索软件可接收7个命令行参数，用于控制程序运行过程的不同方面。图9. 解密并获取命令行参数通过检查系统语言和键盘布局来识别用户的地理位置，从而避免攻击被其列为白名单的地区。图10. 被加入白名单的语言和键盘布局列表接下来，若使用了“-smode”参数，REvil勒索软件将重启计算机到带网络连接的Windows安全模式运行，可以避免AV检测。其首先将登录密码改为“DTrump4ever”，然后设置用户以管理员权限自动登录，接着设置自身下次启动自运行，并设置下次启动时使用bootcfg或bcdedit进入Windows安全模式，最后运行命令重启计算机。图11. 设置相关注册表并重启进入Windows安全模式创建互斥量，防止勒索程序重复运行。图12. 创建互斥量提升权限，如果配置项“exp”为true，REvil勒索软件将尝试将权限提升为管理员。利用runas命令重新以管理员身份执行，征求用户同意。无限循环执行该命令，直到用户同意。图13. 利用runas命令重新以管理员身份执行为了防止在完成加密所有文件之前被中断，REvil通过设置SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册表项来使自己随机器重启自启动。图14. 设置注册表实现机器重启自启动默认情况下，REvil会根据配置项“prc”和“svc”给定的列表来关闭目标服务和进程，并删除卷影副本。但“-silent”参数可以使REvil跳过这个操作。图15. 关闭目标进程和服务，删除卷影副本进行文件加密。REvil勒索软件利用IOCP模型创建多线程，使用Curve25519算法来生成公钥/私钥对，使用Salsa20和AES算法加密用户文件，对配置信息wht字段中指定的白名单进行豁免。加密后的文件后缀是一个随机生成的字符串，长度介于 5 到 10 个字符之间，包含数字和小写字母。在每个文件夹下还创建一个勒索信息文件，提示用户进行支付赎金操作。图16. 加密文件完成所有加密操作后，根据配置项net值决定是否向C2控制器回传密钥和用户信息。控制器域名保存在配置项dmn中，此项中保存有若干域名，有些是合法的，控制器真正的域名隐藏在其中，勒索程序会使用https协议向每一个域名发送POST请求传输信息，回传信息格式如下：图17. 回传信息格式最后，替换桌面壁纸，并设置在系统下次重启时删除程序的可执行文件。3.总结从2019年出现至今，REvil组织之所以能够保持如此活跃的状态，其重要原因在于成熟的RaaS运营模式和不断扩大的附属团队。该组织对新的附属机构有严格的招募原则，要求母语必须为俄语，以此作为一种自身安全保护措施。此外，新的勒索策略和不断更新的勒索软件也是不可缺少的，前者能够提高受害者支付赎金的机率，后者能够提高勒索攻击的可靠性。在这些条件之下，预计2021年下半年REvil的攻击次数和规模将会继续增长。这些勒索攻击一旦得手，除了攻击者索要的高额赎金之外，有时也会给受害者的基础设施带来难以估量的损害，因此企业和用户需要注意防范，避免或减少可能到来的损失。